專利名稱：用戶接入核心網(wǎng)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及無線通信，尤其涉及一種用戶接入核心網(wǎng)的方法和系統(tǒng)。
背景技術(shù)：
IEEE 802.16定義了BWA(Broadband Wireless Access，固定寬帶無線接入)的無線城域網(wǎng)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)針對(duì)不同頻段定義了不同的物理層技術(shù)，標(biāo)準(zhǔn)的應(yīng)用范圍主要面向住宅、SOHO(Small office，小型辦公室/家庭辦公室)、遠(yuǎn)程工作者以及SME(Small enterprise小企業(yè)用戶市場(chǎng))。
IEEE 802.16MAC(Media Access Control，媒體接入控制層)支持很不利的用戶環(huán)境，能夠應(yīng)付在每個(gè)信道上可能有成百上千個(gè)用戶的應(yīng)用環(huán)境，支持連續(xù)式和突發(fā)式等不同的業(yè)務(wù)量，它具有ATM(Asynchronous TransferMode，異步傳輸模式)匯聚子層和分組匯聚子層，通過將多個(gè)高層數(shù)據(jù)單元經(jīng)過匯聚子層處理后封裝成一個(gè)MAC PDU(Protocol Data Unit，協(xié)議數(shù)據(jù)單元)發(fā)送，可以實(shí)現(xiàn)對(duì)ATM、IP(Internet Protocol，因特網(wǎng)協(xié)議)和以太網(wǎng)業(yè)務(wù)的協(xié)議透明性。
WiMAX(Worldwide Interoperability Microwave Access，微波接入全球互通)為世界微波接入互操作性行業(yè)組織，旨在提升IEEE 802.16、IEEE 802.16d、IEEE 802.16e系列空中接口協(xié)議在全球的推廣和應(yīng)用，本文中所指的WiMAX均指滿足IEEE 802.16空中接口協(xié)議的網(wǎng)絡(luò)實(shí)體。
IEEE 802.16系統(tǒng)如果組成蜂窩網(wǎng)絡(luò)的話，則必須要考慮網(wǎng)絡(luò)運(yùn)營(yíng)的問題，需要考慮運(yùn)營(yíng)商對(duì)終端用戶以及業(yè)務(wù)的鑒權(quán)認(rèn)證過程。目前協(xié)議定義的是針對(duì)基站和終端設(shè)備之間的鑒權(quán)認(rèn)證過程，例如WiMAX空中接口協(xié)議IEEE802.16/IEEE 80216e里定義的鑒權(quán)認(rèn)證機(jī)制解決的是接入網(wǎng)的鑒權(quán)認(rèn)證問題，就是定義了BS(Base Station，基站)和用戶的設(shè)備SS(Subscribe Station，用戶站)或MSS(Mobile Subscribe Station，移動(dòng)臺(tái))設(shè)備之間的認(rèn)證機(jī)制，通過目前IEEE 802.16d里定義的基于RSA算法的數(shù)字證書認(rèn)證方式、IEEE802.16e新增加定義的基于RSA(Rivest，Shamir and Adelman，一種公開密鑰加密算法)算法的EAP-TLS(EAPExtensible Authentication Protocol，可擴(kuò)展的認(rèn)證協(xié)議；TLSTransport Level Security，傳輸層安全)認(rèn)證方式和基于SIM(Subscriber Information Module，用戶信息模塊)的EAP-SIM認(rèn)證方式進(jìn)行認(rèn)證，其中EAP-TLS是有數(shù)字證書的私有密鑰方案，EAP-SIM是基于共享密鑰的方案。在WiMAX里，空中接口加密機(jī)制，是通過目前定義的接入網(wǎng)鑒權(quán)認(rèn)證以后，通過密鑰分發(fā)機(jī)制使得MSS/SS和BS獲得空中接口加密密鑰。
現(xiàn)有的缺點(diǎn)在于WiMAX空中接口協(xié)議中定義的認(rèn)證僅指接入網(wǎng)的認(rèn)證，沒有涉及核心網(wǎng)的認(rèn)證，具體說就是沒有對(duì)用戶或者說業(yè)務(wù)級(jí)的鑒權(quán)認(rèn)證機(jī)制，但是如果缺乏有效的核心網(wǎng)認(rèn)證，IEEE 802.16系統(tǒng)的用戶無法接入核心網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)。
上述缺點(diǎn)的也限制了不同標(biāo)準(zhǔn)體系間的核心網(wǎng)和接入網(wǎng)、不同設(shè)備廠家的接入網(wǎng)和核心網(wǎng)和不同接入網(wǎng)和核心網(wǎng)的運(yùn)營(yíng)商之間的互通運(yùn)營(yíng)。

發(fā)明內(nèi)容
本發(fā)明為解決現(xiàn)有技術(shù)的不足，提供一種用戶接入核心網(wǎng)的方法和系統(tǒng)，通過分別由接入網(wǎng)和核心網(wǎng)獨(dú)立鑒權(quán)的兩級(jí)鑒權(quán)認(rèn)證，即接入網(wǎng)完成設(shè)備鑒權(quán)認(rèn)證，核心網(wǎng)完成用戶和業(yè)務(wù)的鑒權(quán)認(rèn)證，使用戶接入核心網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)，所述方法通過下列步驟實(shí)現(xiàn)a、用戶向接入網(wǎng)發(fā)送設(shè)備鑒權(quán)信息請(qǐng)求鑒權(quán)；b、接入網(wǎng)根據(jù)所述設(shè)備鑒權(quán)信息進(jìn)行鑒權(quán)，如果鑒權(quán)通過則接入該用戶，繼續(xù)步驟c；否則拒絕接入該用戶；
c、該用戶通過接入網(wǎng)向核心網(wǎng)發(fā)送用戶鑒權(quán)信息請(qǐng)求鑒權(quán)；d、核心網(wǎng)根據(jù)所述用戶鑒權(quán)信息進(jìn)行鑒權(quán)，如果鑒權(quán)通過則接入該用戶，否則拒絕該用戶。
所述的方法還包括用戶在發(fā)送用戶鑒權(quán)信息的同時(shí)或通過用戶鑒權(quán)之后，通過接入網(wǎng)向核心網(wǎng)發(fā)送業(yè)務(wù)鑒權(quán)信息，核心網(wǎng)根據(jù)該用戶簽約的業(yè)務(wù)信息鑒權(quán)進(jìn)行鑒權(quán)，如果鑒權(quán)通過則向該用戶提供所請(qǐng)求的業(yè)務(wù)；否則拒絕提供所請(qǐng)求的業(yè)務(wù)。
所述步驟a和步驟b符合IEEE 802.16協(xié)議。
所述的方法還包括接入網(wǎng)或核心網(wǎng)為每一個(gè)用戶生成業(yè)務(wù)密鑰并對(duì)應(yīng)發(fā)送給用戶的步驟，所述業(yè)務(wù)密鑰用以加解密該用戶和接入網(wǎng)之間傳輸?shù)臄?shù)據(jù)。
所述步驟b中還包括接入網(wǎng)對(duì)應(yīng)每個(gè)通過設(shè)備鑒權(quán)的用戶生成該用戶的所述業(yè)務(wù)密鑰。
所述步驟d中還包括核心網(wǎng)對(duì)應(yīng)每個(gè)通過用戶鑒權(quán)的用戶生成該用戶的所述業(yè)務(wù)密鑰，并通過接入網(wǎng)將該密鑰業(yè)務(wù)轉(zhuǎn)發(fā)給該用戶。
所述業(yè)務(wù)密鑰由獨(dú)立于接入網(wǎng)和核心網(wǎng)的安全中心生成，并發(fā)送給接入網(wǎng)和對(duì)應(yīng)的用戶，該安全中心與接入網(wǎng)通過接口實(shí)現(xiàn)通信連接。
所述方法還包括下列步驟接入網(wǎng)對(duì)應(yīng)每一個(gè)通過鑒權(quán)的用戶，生成一個(gè)第一密鑰，并將該第一密鑰轉(zhuǎn)發(fā)給用戶；核心網(wǎng)對(duì)應(yīng)每一個(gè)通過鑒權(quán)的用戶，生成一個(gè)第二密鑰，并將該第二密鑰經(jīng)接入網(wǎng)轉(zhuǎn)發(fā)給用戶；以及，接入網(wǎng)和用戶分別利用所述第一密鑰和第二密鑰生成一個(gè)業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用以加解密該用戶和接入網(wǎng)之間傳輸?shù)臄?shù)據(jù)。
基于同一構(gòu)思的一種實(shí)現(xiàn)用戶接入核心網(wǎng)的系統(tǒng)，包括接入網(wǎng)和核心網(wǎng)，所述接入網(wǎng)和核心網(wǎng)通過通信接口實(shí)現(xiàn)通信連接；該接入網(wǎng)的用戶通過所述通信接口請(qǐng)求核心網(wǎng)進(jìn)行用戶鑒權(quán)和/或業(yè)務(wù)鑒權(quán)，該核心網(wǎng)通過該通信接口接入通過用戶鑒權(quán)的用戶或向通過業(yè)務(wù)鑒權(quán)的用戶提供請(qǐng)求的業(yè)務(wù)。
所述通信接口為物理接口或邏輯接口。
所述系統(tǒng)還包括核心網(wǎng)認(rèn)證服務(wù)器，通過接口連接所述核心網(wǎng)，執(zhí)行用戶鑒權(quán)和/或業(yè)務(wù)鑒權(quán)。
該方案具備下列有益的技術(shù)效果1、本發(fā)明所述方法和系統(tǒng)，通用于無線通信網(wǎng)絡(luò)中所有區(qū)分了接入網(wǎng)和核心網(wǎng)的通信網(wǎng)絡(luò)的兩級(jí)鑒權(quán)，實(shí)現(xiàn)了接入網(wǎng)設(shè)備的鑒權(quán)認(rèn)證和運(yùn)營(yíng)商對(duì)用戶和業(yè)務(wù)的認(rèn)證鑒權(quán)，適用于不同標(biāo)準(zhǔn)體系間的核心網(wǎng)和接入網(wǎng)、為不同設(shè)備廠家的接入網(wǎng)和核心網(wǎng)、運(yùn)營(yíng)不同接入網(wǎng)和核心網(wǎng)的運(yùn)營(yíng)商之間網(wǎng)絡(luò)運(yùn)營(yíng)提供安全保障，使網(wǎng)絡(luò)運(yùn)營(yíng)更為靈活可靠。
2、使用本發(fā)明所述方法和系統(tǒng)，可以充分利用了已有接入網(wǎng)和核心網(wǎng)的機(jī)制，做到了互相無縫配合。
3、特別是該方法應(yīng)用到寬帶用戶接入核心網(wǎng)時(shí)，充分利用了WiMAX空中接口協(xié)議定義的接入網(wǎng)的空中接口方案，減小運(yùn)營(yíng)商的投資運(yùn)營(yíng)成本，保護(hù)了運(yùn)營(yíng)商的利益。


圖1為實(shí)施例一所述系統(tǒng)結(jié)構(gòu)圖；圖2WiRAN接入WCDMA的核心網(wǎng)SGSN的連接示意圖；圖3為本發(fā)明所述方法流程圖。
具體實(shí)施例方式
下面結(jié)合附圖以IEEE 802.16系統(tǒng)接入核心網(wǎng)為例詳細(xì)說明本發(fā)明所述方法和系統(tǒng)。
雖然WiMAX在其協(xié)議中已經(jīng)定義了兩種空中接口的加密和鑒權(quán)機(jī)制，一種是有數(shù)字證書的私有密鑰方案，一種是基于共享密鑰的EAP-SIM方案。但是這兩種方案并不涉及核心網(wǎng)級(jí)用戶及業(yè)務(wù)的鑒權(quán)認(rèn)證，為了保證系統(tǒng)的可靠運(yùn)營(yíng)，系統(tǒng)必須考慮與已有核心網(wǎng)的兼容，為了不對(duì)各自協(xié)議有更改，也為了更好的保證互通性，本發(fā)明提供一種兩級(jí)鑒權(quán)認(rèn)證的方案來解決這個(gè)問題，第一級(jí)為設(shè)備鑒權(quán)認(rèn)證，利用目前協(xié)議定義的鑒權(quán)認(rèn)證機(jī)制實(shí)現(xiàn)接入網(wǎng)級(jí)的鑒權(quán)認(rèn)證，即完成BS和SS/MSS設(shè)備之間的鑒權(quán)認(rèn)證；第二級(jí)為用戶或業(yè)務(wù)鑒權(quán)認(rèn)證，利用運(yùn)營(yíng)商已有的核心網(wǎng)，如NGN(Next Generation Network，下一代網(wǎng)絡(luò))、2G(Second Generation，第二代移動(dòng)通信系統(tǒng))、3G(ThirdGeneration，第三代移動(dòng)通信系統(tǒng))等已有的核心網(wǎng)級(jí)的鑒權(quán)認(rèn)證機(jī)制，完成核心網(wǎng)級(jí)的鑒權(quán)認(rèn)證，即完成最終用戶和業(yè)務(wù)級(jí)的鑒權(quán)認(rèn)證，實(shí)現(xiàn)用戶接入核心網(wǎng)進(jìn)行業(yè)務(wù)，上述思路可以應(yīng)用在實(shí)施例一所述的系統(tǒng)中。
實(shí)施例一一種實(shí)現(xiàn)用戶接入核心網(wǎng)的系統(tǒng)如圖1所示，圖中WiRAN(WiMAX Radio Access Network)為WiMAX接入網(wǎng)的統(tǒng)稱，WiRAN和核心網(wǎng)之間通過接口實(shí)現(xiàn)通信連接，IEEE 802.16系統(tǒng)用戶通過WiRAN與核心網(wǎng)之間的接口接入到核心網(wǎng)。RAN AAA(Radio AccessNetwork Authentication，Authorization and Accounting，接入網(wǎng)認(rèn)證、授權(quán)和計(jì)費(fèi))為接入網(wǎng)側(cè)鑒權(quán)認(rèn)證服務(wù)器，完成接入網(wǎng)設(shè)備和用戶設(shè)備之間的相互鑒權(quán)認(rèn)證；AAA(Authentication，Authorization and Accounting，認(rèn)證、授權(quán)和計(jì)費(fèi))為核心網(wǎng)側(cè)的鑒權(quán)認(rèn)證服務(wù)器，完成對(duì)用戶和業(yè)務(wù)的鑒權(quán)認(rèn)證。RAN AAA是一個(gè)邏輯實(shí)體，既可以存在于WiRAN之中，也可以與核心網(wǎng)AAA放在一起，或者可以作為單獨(dú)的一個(gè)功能實(shí)體，放置于接入網(wǎng)附近，圖中各實(shí)體之間的接口根據(jù)實(shí)際情況為邏輯接口或物理接口。為保證各功能實(shí)體之間的信令交互，需要對(duì)各功能實(shí)體之間的接口進(jìn)行功能完善1、WiRAN-RAN AAA之間的接口，主要完成以下功能-識(shí)別并交互MSS/SS的設(shè)備鑒權(quán)請(qǐng)求；-對(duì)終端返回一個(gè)標(biāo)識(shí)，用以通知MSS/SS設(shè)備鑒權(quán)是否通過。
2、WiRAN和核心網(wǎng)之間的接口，主要完成以下功能-識(shí)別并交互MSS/SS的用戶或業(yè)務(wù)請(qǐng)求及鑒權(quán)消息；-在WiRAN側(cè)適配核心網(wǎng)的用戶面協(xié)議棧，用作數(shù)據(jù)傳輸。
3、WiRAN-WiRAN之間的接口，在WiRAN間切換時(shí)進(jìn)行信令交互，在源WiRAN與目標(biāo)WiRAN之間交換MSS/SS和核心網(wǎng)之間的消息，其中-目標(biāo)WiRAN到源WiRAN信息包括用戶的信息、安全層包等；-源WiRAN到目標(biāo)WiRAN信息包括會(huì)話層配置參數(shù)、核心網(wǎng)相關(guān)設(shè)備的地址等。
下面以WiMAX接入WCDMA PS(Packet Switch，包交換，通常所說的分組域)核心網(wǎng)為例詳細(xì)說明各接口的功能將WiMAX接入網(wǎng)接到WCDMA(Wideband Code Division MultipleAccess)核心網(wǎng)的SGSN(Serving GPRS Support Node，服務(wù)GPRS支持節(jié)點(diǎn))設(shè)備上，系統(tǒng)結(jié)構(gòu)如圖2所示，鑒權(quán)認(rèn)證過程分為兩個(gè)步驟步驟一、WiRAN完成對(duì)SS/MSS設(shè)備的鑒權(quán)認(rèn)證，驗(yàn)證其是否有權(quán)限接入到WiMAX接入網(wǎng)絡(luò)中；步驟二、CN(Core Network，核心網(wǎng))與SS/MSS完成鑒權(quán)和認(rèn)證，這個(gè)過程與已有核心網(wǎng)定義一致，可以不作更改；如果用戶的鑒權(quán)通過，由CN給WiRAN下發(fā)加密和完整性模式控制，要求WiRAN對(duì)空中接口傳輸?shù)臄?shù)據(jù)進(jìn)行加密和完整性保護(hù)，這時(shí)WiRAN對(duì)這個(gè)消息不做實(shí)質(zhì)的處理，直接給CN回復(fù)成功響應(yīng)就可以了，根據(jù)WiMAX本身的空中接口協(xié)議(IEEE 802.16d/IEEE 802.16e)生成相關(guān)密鑰完成空中接口的加密。
為保證各功能實(shí)體之間的信令交互，需要對(duì)接口完善下列功能1、WiRAN-RAN AAA之間的接口，主要完成以下功能-識(shí)別并交互MSS/SS的設(shè)備鑒權(quán)請(qǐng)求消息；例如MSS/SS通過空中接口發(fā)送PKM REQ(鑒權(quán)認(rèn)證請(qǐng)求消息)到WiRAN的基站側(cè)，在終端發(fā)送的鑒權(quán)認(rèn)證請(qǐng)求消息里攜帶終端的數(shù)字證書等鑒權(quán)認(rèn)證相關(guān)的身份信息，基站收到這些信息以后，將這些信息通過與RANAAA的交互，并將鑒權(quán)認(rèn)證的結(jié)果和后續(xù)空中接口數(shù)據(jù)加密的密鑰信息通過空中接口消息，如PKM RSP(鑒權(quán)認(rèn)證響應(yīng)消息)反饋給終端。
-對(duì)鑒權(quán)通過的終端在PKM RSP消息里返回一個(gè)標(biāo)識(shí)；該標(biāo)識(shí)標(biāo)明了終端是否已經(jīng)通過接入網(wǎng)級(jí)的鑒權(quán)認(rèn)證，如果通過了，則將在此基礎(chǔ)上會(huì)完成后續(xù)的與核心網(wǎng)的信令接口的連接建立，如用于GTP-U/SCTP接口的鏈接建立。在接入網(wǎng)鑒權(quán)認(rèn)證完成以后，接著完成核心網(wǎng)側(cè)的鑒權(quán)認(rèn)證，為此需要在接入網(wǎng)和核心網(wǎng)之間建立信令連接，在這里為了和WCDMA的SGSN適配，考慮接口使用IP協(xié)議傳輸，因此需要建立信令面的SCTP鏈接和業(yè)務(wù)面的GTP-U鏈接。
2、WiRAN和SGSN之間的接口，主要完成以下功能-SCTP在接入網(wǎng)鑒權(quán)認(rèn)證通過的基礎(chǔ)上，進(jìn)行核心網(wǎng)級(jí)的鑒權(quán)認(rèn)證，即業(yè)務(wù)級(jí)的鑒權(quán)認(rèn)證；-GTP-U在WiRAN側(cè)適配SGSN的用戶面協(xié)議棧，用作數(shù)據(jù)傳輸。
3、WiRAN-WiRAN之間的接口，在WiRAN間切換時(shí)進(jìn)行信令交互，在源WiRAN與目標(biāo)WiRAN之間交換MSS和SGSN之間的消息。
-目標(biāo)WiRAN到源WiRAN信息包括用戶的信息、安全層包等；-源WiRAN到目標(biāo)WiRAN信息包括會(huì)話層配置參數(shù)、SGSN地址等。
通過上述系統(tǒng)將用戶接入核心網(wǎng)時(shí)，可以通過如圖3所示的步驟完成用戶的接入鑒權(quán)步驟一、設(shè)備鑒權(quán)由RAN AAA認(rèn)證服務(wù)器完成接入網(wǎng)設(shè)備之間的鑒權(quán)認(rèn)證，包括SS/MSS對(duì)基站的鑒權(quán)以及基站對(duì)SS/MSS的鑒權(quán)。SS/MSS在初始接入到網(wǎng)絡(luò)(如用戶開機(jī)時(shí))時(shí)，SS/MSS把設(shè)備鑒權(quán)認(rèn)證信息發(fā)送到WiRAN，WiRAN判斷需要對(duì)SS/MSS進(jìn)行設(shè)備鑒權(quán)認(rèn)證，通過與RAN AAA的接口把相應(yīng)信息發(fā)送給RAN AAA，RAN AAA對(duì)鑒權(quán)認(rèn)證信息進(jìn)行處理，并把結(jié)果返回給WiRAN，WiRAN根據(jù)結(jié)果完成必要的處理后，把結(jié)果通知SS/MSS。
設(shè)備鑒權(quán)認(rèn)證可以由用戶發(fā)起，也可以由網(wǎng)絡(luò)發(fā)起，接入網(wǎng)接入通過鑒權(quán)的用戶，拒絕沒有通過鑒權(quán)的用戶，并將鑒權(quán)結(jié)果返回給用戶。
步驟二、用戶或業(yè)務(wù)鑒權(quán)用戶在通過步驟一的鑒權(quán)后，可以將用戶或業(yè)務(wù)的鑒權(quán)請(qǐng)求通過接入網(wǎng)轉(zhuǎn)發(fā)給核心網(wǎng)。具體為在用戶有業(yè)務(wù)需求接入核心網(wǎng)時(shí)，SS/MSS把業(yè)務(wù)或者用戶鑒權(quán)認(rèn)證信息通過WiRAN發(fā)送到核心網(wǎng)AAA，核心網(wǎng)AAA根據(jù)用戶鑒權(quán)認(rèn)證信息完成對(duì)用戶或業(yè)務(wù)的鑒權(quán)認(rèn)證，并把結(jié)果通過WiRAN發(fā)送給SS/MSS。
用戶或業(yè)務(wù)的鑒權(quán)認(rèn)證可以對(duì)用戶或業(yè)務(wù)單獨(dú)進(jìn)行，也可以同時(shí)進(jìn)行；鑒權(quán)認(rèn)證的發(fā)起可以為用戶或核心網(wǎng)，核心網(wǎng)接入通過鑒權(quán)的用戶并為其提供所請(qǐng)求的業(yè)務(wù)。
下面以實(shí)施例二詳細(xì)說明鑒權(quán)用戶并接入核心網(wǎng)的流程實(shí)施例二WiMAX兩級(jí)鑒權(quán)認(rèn)證流程和密鑰分發(fā)過程首先，接入網(wǎng)要對(duì)用戶設(shè)備的合法性進(jìn)行鑒權(quán)認(rèn)證，具體包括步驟S11～S14S11SS/MSS請(qǐng)求接入網(wǎng)進(jìn)行設(shè)備鑒權(quán)認(rèn)證；鑒權(quán)認(rèn)證可以由SS/MSS發(fā)起，也可以由網(wǎng)絡(luò)發(fā)起。如果由SS/MSS發(fā)起，在初始接入到網(wǎng)絡(luò)，例如用戶開機(jī)時(shí)，SS/MSS把設(shè)備鑒權(quán)認(rèn)證信息發(fā)送到WiRAN的BS側(cè)，設(shè)備鑒權(quán)認(rèn)證信息通過例如PKM REQ空中接口消息來傳遞。
S12RAN AAA鑒權(quán)SS/MSS的設(shè)備；WiRAN和用戶之間完成設(shè)備的鑒權(quán)認(rèn)證，通過與RAN AAA的接口把相應(yīng)鑒權(quán)認(rèn)證請(qǐng)求信息發(fā)送給RAN AAA；由RAN AAA具體執(zhí)行鑒權(quán)，RAN AAA中對(duì)應(yīng)存儲(chǔ)有鑒權(quán)用戶設(shè)備所需要的信息，SS/MSS設(shè)備的鑒權(quán)認(rèn)證請(qǐng)求信息中包括用戶的設(shè)備信息，如果SS/MSS鑒權(quán)認(rèn)證請(qǐng)求中的設(shè)備信息與RANAAA中對(duì)應(yīng)存儲(chǔ)的信息相匹配，則該用戶鑒權(quán)通過，否則，鑒權(quán)失敗。
上述兩個(gè)步驟S11和S12可以采用很多方式，如基于RSA的數(shù)字證書認(rèn)證方法、EAP-TLS，或者EAP-SIM方式，不同的鑒權(quán)認(rèn)證方式所需的信息是不同的，例如采用目前的基于RSA的數(shù)字證書認(rèn)證機(jī)制，認(rèn)證信息被封裝在數(shù)字證書中，如果數(shù)字證書由制造商簽發(fā)，在設(shè)備出廠之前已經(jīng)安裝在設(shè)備上面；如果數(shù)字證書由運(yùn)營(yíng)商簽發(fā)，RAN AAA中對(duì)應(yīng)存儲(chǔ)有解密數(shù)字證書的公鑰信息和用以驗(yàn)證設(shè)備的認(rèn)證信息。
RAN AAA單獨(dú)設(shè)置時(shí)，可以根據(jù)用戶數(shù)的多少在接入網(wǎng)附近設(shè)置多個(gè)，而且如網(wǎng)絡(luò)不關(guān)心對(duì)用戶設(shè)備的鑒權(quán)認(rèn)證時(shí)，可以不需要其中的RAN AAA，用一個(gè)實(shí)體對(duì)用戶或業(yè)務(wù)進(jìn)行鑒權(quán)即可完成整個(gè)鑒權(quán)認(rèn)證過程，RAN AAA的功能也可以在接入網(wǎng)的基站中實(shí)現(xiàn)，不用單獨(dú)設(shè)置。
S13RAN AAA將鑒權(quán)結(jié)果返回給WiRAN；S14WiRAN將鑒權(quán)結(jié)果通知SS/MSS，并根據(jù)結(jié)果進(jìn)行后續(xù)處理，如果鑒權(quán)認(rèn)證成功則允許接入該用戶；如果鑒權(quán)認(rèn)證失敗則拒絕接入該用戶。
步驟二、由AAA認(rèn)證服務(wù)器對(duì)用戶或業(yè)務(wù)進(jìn)行鑒權(quán)認(rèn)證對(duì)于通過設(shè)備鑒權(quán)的用戶，如果需要使用核心網(wǎng)提供的業(yè)務(wù)，還需要通過核心網(wǎng)的鑒權(quán)認(rèn)證，具體包括步驟S15～S18S15用戶請(qǐng)求CN進(jìn)行用戶鑒權(quán)或業(yè)務(wù)鑒權(quán)；當(dāng)用戶需要使用核心網(wǎng)絡(luò)提供的業(yè)務(wù)時(shí)，首先需要通過核心網(wǎng)的鑒權(quán)認(rèn)證過程，證明其有使用業(yè)務(wù)的權(quán)利。鑒權(quán)認(rèn)證的發(fā)起方可以為用戶或核心網(wǎng)。當(dāng)由用戶發(fā)起時(shí)，用戶可以在有業(yè)務(wù)需求接入核心網(wǎng)時(shí)，SS/MSS把業(yè)務(wù)或者用戶鑒權(quán)認(rèn)證信息通過WiRAN發(fā)送到核心網(wǎng)AAA。
S16核心網(wǎng)將接收到的用戶或業(yè)務(wù)鑒權(quán)認(rèn)證請(qǐng)求送入核心網(wǎng)AAA認(rèn)證服務(wù)器；S17核心網(wǎng)AAA認(rèn)證服務(wù)器根據(jù)用戶鑒權(quán)認(rèn)證信息完成對(duì)用戶或業(yè)務(wù)的鑒權(quán)認(rèn)證；AAA認(rèn)證服務(wù)器中存儲(chǔ)有簽約每個(gè)用戶的用戶信息和簽約的業(yè)務(wù)信息，AAA認(rèn)證服務(wù)器根據(jù)用戶身份將保存的信息與用戶發(fā)送的鑒權(quán)認(rèn)證信息進(jìn)行對(duì)比，如果一致則鑒權(quán)通過，否則鑒權(quán)失敗。如果核心網(wǎng)鑒權(quán)認(rèn)證采用兼容3GPP的3G核心網(wǎng)的EAP-SIM認(rèn)證方式，這些鑒權(quán)認(rèn)證信息包括SIM卡的國(guó)際用戶身份標(biāo)識(shí)信息。
S18核心網(wǎng)AAA認(rèn)證服務(wù)器將用戶或業(yè)務(wù)鑒權(quán)結(jié)果通過WiRAN返回給請(qǐng)求的SS/MSS；對(duì)用戶的鑒權(quán)認(rèn)證表明用戶是否有權(quán)利使用網(wǎng)絡(luò)提供的服務(wù)；對(duì)業(yè)務(wù)的鑒權(quán)認(rèn)證表明用戶是否有權(quán)利使用網(wǎng)絡(luò)提供的這項(xiàng)業(yè)務(wù)，用戶或業(yè)務(wù)的鑒權(quán)認(rèn)證可以對(duì)用戶或業(yè)務(wù)單獨(dú)進(jìn)行，也可以同時(shí)進(jìn)行。
步驟三、為通過兩級(jí)鑒權(quán)認(rèn)證的用戶下發(fā)加密業(yè)務(wù)數(shù)據(jù)的密鑰鑒權(quán)通過之后，為進(jìn)一步保證只有合法用戶才能授權(quán)使用簽約業(yè)務(wù)，業(yè)務(wù)數(shù)據(jù)應(yīng)該采取一定的加密措施，加密用的密鑰應(yīng)該經(jīng)是用戶和核心網(wǎng)都可以認(rèn)知的，因此，本發(fā)明所述的方法還可以進(jìn)一步包括步驟S19和步驟S110S19為每一個(gè)合法用戶對(duì)應(yīng)生成業(yè)務(wù)密鑰；S110將生成的業(yè)務(wù)密鑰下發(fā)給用戶和用戶的交換設(shè)備。
本發(fā)明提供的鑒權(quán)認(rèn)證機(jī)制，可以靈活運(yùn)用下面所述的多種加密方案用于空中接口數(shù)據(jù)傳輸?shù)募用埽梢栽谏鲜霾襟E二或步驟三中，或者，完成上步驟二和步驟三以后，生成空中接口業(yè)務(wù)密鑰下發(fā)給SS/MSS1、AAA產(chǎn)生密鑰用于通過空中接口傳輸?shù)臄?shù)據(jù)的加解密；具體實(shí)現(xiàn)方式可以是AAA服務(wù)器對(duì)通過設(shè)備鑒權(quán)的每一個(gè)SS/MSS，按照一定算法對(duì)生成業(yè)務(wù)密鑰，將該業(yè)務(wù)密鑰送入接入網(wǎng)的基站，基站對(duì)應(yīng)該SS/MSS保存后再轉(zhuǎn)發(fā)給SS/MSS，基站和SS/MSS利用該業(yè)務(wù)密鑰實(shí)現(xiàn)空中接口的加密。如果是基于RSA的數(shù)字證書的認(rèn)證方法，基站將該業(yè)務(wù)密鑰利用公鑰加密后發(fā)送，SS/MSS收到后利用私鑰解密后保存。
2、RAN AAA產(chǎn)生密鑰用于通過空中接口傳輸?shù)臄?shù)據(jù)的加解密；具體實(shí)現(xiàn)方式可以是RAN AAA服務(wù)器對(duì)通過用戶或業(yè)務(wù)鑒權(quán)的每一個(gè)SS/MSS按照一定算法對(duì)生成業(yè)務(wù)密鑰，將該業(yè)務(wù)密鑰送入接入網(wǎng)的基站，基站對(duì)應(yīng)該SS/MSS保存后再轉(zhuǎn)發(fā)給SS/MSS。
3、AAA和RAN AAA協(xié)作產(chǎn)生密鑰，如由AAA和RAN AAA分別產(chǎn)生一個(gè)密鑰，在AAA或RAN AAA中根據(jù)一定的算法，由這兩個(gè)密鑰共同產(chǎn)生一個(gè)新的密鑰，用于通過空中接口傳輸?shù)臄?shù)據(jù)的加解密；具體實(shí)現(xiàn)方式可以是在基站和SS/MSS中，利用通過上述兩種方法分別得到的兩個(gè)密鑰，按照特定的算法用這兩個(gè)密鑰再生成業(yè)務(wù)密鑰，用于通過空中接口傳輸?shù)臄?shù)據(jù)的加解密。
4、獨(dú)立于RAN AAA和AAA的其他密鑰提供服務(wù)器，例如與接入網(wǎng)通過接口實(shí)現(xiàn)通信的安全中心產(chǎn)生業(yè)務(wù)密鑰，用于通過空中接口傳輸?shù)臄?shù)據(jù)的加解密。
綜上所述，在WiRAN側(cè)完全采用目前IEEE 802.16d/e的協(xié)議規(guī)定進(jìn)行接入網(wǎng)和用戶設(shè)備之間的鑒權(quán)認(rèn)證和加密；而在核心網(wǎng)側(cè)，則采用運(yùn)營(yíng)商核心網(wǎng)已有的鑒權(quán)認(rèn)證方式完成核心網(wǎng)對(duì)用戶和業(yè)務(wù)的鑒權(quán)認(rèn)證，通過這兩級(jí)認(rèn)證，保證了用戶順利的接入核心網(wǎng)進(jìn)行網(wǎng)絡(luò)運(yùn)營(yíng)。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，本發(fā)明所述的兩級(jí)鑒權(quán)方法和系統(tǒng)結(jié)構(gòu)可以通用于無線通信網(wǎng)絡(luò)中所有區(qū)分了接入網(wǎng)和核心網(wǎng)的通信網(wǎng)絡(luò)的兩級(jí)鑒權(quán)，適用于不同標(biāo)準(zhǔn)體系間的核心網(wǎng)和接入網(wǎng)、為不同設(shè)備廠家的接入網(wǎng)和核心網(wǎng)，運(yùn)營(yíng)不同接入網(wǎng)和核心網(wǎng)的運(yùn)營(yíng)商之間，實(shí)現(xiàn)了接入網(wǎng)設(shè)備的鑒權(quán)認(rèn)證和運(yùn)營(yíng)商對(duì)用戶和業(yè)務(wù)的認(rèn)證鑒權(quán)，使網(wǎng)絡(luò)運(yùn)營(yíng)更為靈活可靠。對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以作出若干改進(jìn)和潤(rùn)飾，這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種用戶接入核心網(wǎng)的實(shí)現(xiàn)方法，其特征在于，包括下列步驟a、用戶向接入網(wǎng)發(fā)送設(shè)備鑒權(quán)信息請(qǐng)求鑒權(quán)；b、接入網(wǎng)根據(jù)所述設(shè)備鑒權(quán)信息進(jìn)行鑒權(quán)，如果鑒權(quán)通過則接入該用戶，繼續(xù)步驟c；否則拒絕接入該用戶；c、該用戶通過接入網(wǎng)向核心網(wǎng)發(fā)送用戶鑒權(quán)信息請(qǐng)求鑒權(quán)；d、核心網(wǎng)根據(jù)所述用戶鑒權(quán)信息進(jìn)行鑒權(quán)，如果鑒權(quán)通過則接入該用戶，否則拒絕該用戶。
2.如權(quán)利要求1所述的方法，其特征在于用戶在發(fā)送用戶鑒權(quán)信息的同時(shí)或在通過用戶鑒權(quán)之后，通過接入網(wǎng)向核心網(wǎng)發(fā)送業(yè)務(wù)鑒權(quán)信息，核心網(wǎng)根據(jù)該用戶簽約的業(yè)務(wù)信息進(jìn)行鑒權(quán)，如果鑒權(quán)通過則向該用戶提供所請(qǐng)求的業(yè)務(wù)；否則拒絕提供所請(qǐng)求的業(yè)務(wù)。
3.如權(quán)利要求1所述的方法，其特征在于，所述接入網(wǎng)和用戶之間使用IEEE 802.16協(xié)議定義的設(shè)備鑒權(quán)機(jī)制進(jìn)行鑒權(quán)。
4.如權(quán)利要求1所述的方法，其特征在于，還包括步驟接入網(wǎng)或核心網(wǎng)為每一個(gè)用戶生成業(yè)務(wù)密鑰并對(duì)應(yīng)發(fā)送給用戶，所述業(yè)務(wù)密鑰用以加解密該用戶和接入網(wǎng)之間傳輸?shù)臄?shù)據(jù)。
5.如權(quán)利要求4所述的方法，其特征在于，所述步驟b中還包括接入網(wǎng)在用戶通過設(shè)備鑒權(quán)之后，對(duì)應(yīng)該用戶生成所述業(yè)務(wù)密鑰。
6.如權(quán)利要求4所述的方法，其特征在于，所述步驟d中還包括核心網(wǎng)在用戶通過用戶鑒權(quán)之后，對(duì)應(yīng)該用戶生成所述業(yè)務(wù)密鑰，并通過接入網(wǎng)將該業(yè)務(wù)密鑰轉(zhuǎn)發(fā)給該用戶。
7.如權(quán)利要求4所述的方法，其特征在于，所述業(yè)務(wù)密鑰由獨(dú)立于接入網(wǎng)和核心網(wǎng)的安全中心生成，并發(fā)送給接入網(wǎng)和對(duì)應(yīng)的用戶，該安全中心與接入網(wǎng)通過接口實(shí)現(xiàn)通信連接。
8.如權(quán)利要求1所述的方法，其特征在于，所述方法還包括下列步驟接入網(wǎng)對(duì)應(yīng)每一個(gè)通過鑒權(quán)的用戶，生成一個(gè)第一密鑰，并將該第一密鑰轉(zhuǎn)發(fā)給用戶；核心網(wǎng)對(duì)應(yīng)每一個(gè)通過鑒權(quán)的用戶，生成一個(gè)第二密鑰，并將該第二密鑰經(jīng)接入網(wǎng)轉(zhuǎn)發(fā)給用戶；以及接入網(wǎng)和用戶分別利用所述第一密鑰和第二密鑰生成業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用以加解密該用戶和接入網(wǎng)之間傳輸?shù)臄?shù)據(jù)。
9.一種實(shí)現(xiàn)用戶接入核心網(wǎng)的系統(tǒng)，包括接入網(wǎng)和核心網(wǎng)，其特征在于所述接入網(wǎng)和核心網(wǎng)通過通信接口實(shí)現(xiàn)通信連接；該接入網(wǎng)的用戶通過所述通信接口請(qǐng)求核心網(wǎng)進(jìn)行用戶鑒權(quán)和/或業(yè)務(wù)鑒權(quán)，該核心網(wǎng)通過該通信接口接入通過用戶鑒權(quán)的用戶，或向通過業(yè)務(wù)鑒權(quán)的用戶提供請(qǐng)求的業(yè)務(wù)。
10.如權(quán)利要求9所述的系統(tǒng)，其特征在于所述通信接口為物理接口或邏輯接口。
11.如權(quán)利要求9所述的系統(tǒng)，其特征在于所述系統(tǒng)還包括核心網(wǎng)認(rèn)證服務(wù)器，通過接口通信連接所述核心網(wǎng)，執(zhí)行用戶鑒權(quán)和/或業(yè)務(wù)鑒權(quán)。
12.如權(quán)利要求9所述的系統(tǒng)，其特征在于所述系統(tǒng)還包括接入網(wǎng)認(rèn)證服務(wù)器，位于接入網(wǎng)側(cè)或核心網(wǎng)側(cè)，通過接口通信連接該接入網(wǎng)，對(duì)用戶設(shè)備進(jìn)行鑒權(quán)。
全文摘要
本發(fā)明涉及無線通信，尤其涉及一種用戶接入核心網(wǎng)的方法和系統(tǒng)。一種用戶接入核心網(wǎng)的方法和系統(tǒng)，通過分別由接入網(wǎng)和核心網(wǎng)獨(dú)立鑒權(quán)的兩級(jí)鑒權(quán)認(rèn)證，即接入網(wǎng)完成設(shè)備鑒權(quán)認(rèn)證，核心網(wǎng)完成用戶和業(yè)務(wù)的鑒權(quán)認(rèn)證，使用戶方便接入核心網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)；所述方法應(yīng)用在一種實(shí)現(xiàn)用戶接入核心網(wǎng)的系統(tǒng)中，所述系統(tǒng)包括接入網(wǎng)和核心網(wǎng)；以及為所述接入網(wǎng)和核心網(wǎng)實(shí)現(xiàn)通信連接通信接口；認(rèn)證服務(wù)器，鑒權(quán)請(qǐng)求接入的用戶或用戶請(qǐng)求的業(yè)務(wù)，以及，和/或鑒權(quán)用戶的設(shè)備；本發(fā)明所述方法和系統(tǒng)適用于不同標(biāo)準(zhǔn)體系間的核心網(wǎng)和接入網(wǎng)的網(wǎng)絡(luò)運(yùn)營(yíng)。
文檔編號(hào)H04L12/28GK1801704SQ20041010405
公開日2006年7月12日 申請(qǐng)日期2004年12月31日 優(yōu)先權(quán)日2004年12月31日
發(fā)明者謝勇, 肖正飛, 吳建軍 申請(qǐng)人:華為技術(shù)有限公司